krzysztof mikołajczyk dla aula polska: co developer aplikacji mobilnych powinien wiedzieć o danych...
Post on 26-Jun-2015
267 Views
Preview:
DESCRIPTION
TRANSCRIPT
1
Co developer aplikacji mobilnych powinien
wiedzieć o danych osobowych?
Krzysztof Mikołajczyk Aula #107 – Biznes i prawo 6 lutego 2014
2
Agenda
• Dane osobowe – ale o co chodzi?
• Status prawny developera aplikacji mobilnej
wobec danych użytkowników
• Podstawowe obowiązki administratora
danych zebranych poprzez aplikacje mobilną
• Privacy by design – zbiór dobrych praktyk
3
Dane osobowe
Ale o co chodzi?
4
Dane osobowe - krótko i na temat… (1)
• Wszelkie informacje dotyczące zidentyfikowanej
lub możliwej do zidentyfikowania osoby fizycznej.
• Niecelowe jest tworzenie „katalogu” danych osobowych
– wszystko zależy od kontekstu.
• Rozmaite dane zbierane w toku korzystania z aplikacji
i dające się powiązać z konkretną osobą „zasilają”
zakres danych osobowych o tej osobie.
• Brak możliwości identyfikacji – gdy określenie
tożsamości osoby wymagałoby nadmiernych kosztów,
czasu lub działań (obecnie – ryzykowne)
5
… i jeszcze trochę o danych (2)
• Dane osobowe „samodzielne” (PESEL)
• Dane osobowe „kontekstowe”
• Szczególne kategorie danych
• e-mail, login, adres IP, IMEI, adres MAC?
6
Status prawny developera aplikacji mobilnej
wobec danych użytkowników
7
Pogromcy mitów
• „Nie przetwarzamy danych osobowych,
a jedynie je przechowujemy”
• „Nie przetwarzamy danych osobowych,
a jedynie dane eksploatacyjne”
8
Przetwarzanie danych osobowych
• Jakiekolwiek operacje wykonywane na danych
osobowych, takie jak zbieranie, utrwalanie,
przechowywanie, opracowywanie, zmienianie,
udostępnianie i usuwanie
• Zwłaszcza te, które wykonuje się w systemach
informatycznych
9
Administrator danych osobowych
• Zasadniczo „właściciel” danych osobowych
• Decyduje o celach i środkach przetwarzania danych
• Główny adresat obowiązków związanych z przetwarzaniem
danych osobowych
• Główny odpowiedzialny za przetwarzanie danych osobowych
10
Przetwarzający na zlecenie (processor)
• Przetwarza:
– w imieniu i na rzecz administratora danych
– zgodnie z celem i zakresem wyznaczonym
przez administratora danych
– zgodnie ze wskazówkami administratora
• Ma obowiązek zabezpieczenia danych osobowych
• Zlecenie przetwarzania – wybrane problemy
11
Przykłady
• Aplikacja pozwala użytkownikom na „proste” zapisywanie
danych na ich urządzeniu => użytkownik zachowuje pełną
kontrolę nad danymi => twórca nie zbiera danych
• Aplikacja przekazuje dane użytkownika na serwery
twórcy aplikacji lub do chmury i tworzy profil
behawioralny => administrator
• Aplikacja zawiera komponent prezentujący reklamy
dostarczane przez podmiot trzeci => najprawdopodobniej
to dostawca reklam będzie administratorem, ale należy
o tym poinformować użytkowników
12
Podstawowe obowiązki developera
aplikacji mobilnych
wobec danych użytkowników
13
Informacja!
Zbieranie danych osobowych bezpośrednio od osoby,
której one dotyczą; administrator danych jest obowiązany
poinformować tę osobę o:
• adresie swojej siedziby i pełnej nazwie
• celu zbierania danych, a w szczególności o znanych
mu w czasie udzielania informacji lub przewidywanych
odbiorcach lub kategoriach odbiorców danych
• prawie dostępu do treści swoich danych oraz ich
poprawiania
• dobrowolności albo obowiązku podania danych,
a jeżeli taki obowiązek istnieje, o jego podstawie prawnej
14
Zasada legalności
• Przepisy ustawy o świadczeniu usług drogą
elektroniczną – wystarczająca podstawą prawną
dla przetwarzania niektórych danych
• Zgoda osoby – w pozostałych przypadkach (większość)
użytkownik powinien się zgodzić na przetwarzanie
danych o nim
15
Zgoda to nie wszystko - adekwatność
„dane są adekwatne do celów, w jakich są przetwarzane”
• Zakres zbieranych danych nie powinien
wykraczać poza cel ich przetwarzania
• Adekwatność ocenia się indywidualnie
w zależności od okoliczności,
zależy od funkcjonalności aplikacji
16
Celowość i czasowość
• Związanie celem - tożsamość celu przetwarzania danych
o użytkowniku (dane zebrane dla jednego celu nie mogą
być wykorzystane dla innych celów innego, np.
marketingowych, o ile użytkownik nie wyraził na to zgody)
• Czas przetwarzania - „nie dłużej niż jest to niezbędne
do osiągnięcia celu przetwarzania”
17
Privacy by Design
Zbiór dobrych praktyk
18
Dobre praktyki
• Standardowe uprawnienia dostępu do określonych danych
nadawane przez sklepy są często niewystarczające
(nie opisują celu przetwarzania) – informuj.
• Nie zbieraj danych „za zapas” (brak celu)
• Rozważ informowanie o potrzebie zebrania dodatkowych
danych tuż przez rozpoczęciem ich zbierania
• Unikaj stawiania użytkownika przez alternatywą
„wszystko albo nic” (adekwatność)
• „The default rules”
19
Podsumowanie
20
Wierzbowski Eversheds Sp. k.
Centrum Jasna
ul. Jasna 14/16a
00-041 Warszawa
Tel. +48 22 50 50 700
Faks +48 22 50 50 701
Krzysztof Mikołajczyk
Tel. +48 22 50 50 780
krzysztof.mikolajczyk@eversheds.pl
Zapraszam na
www.IPwSieci.pl
Nasz blog o nowych
technologiach i Internecie
okiem prawnika
Dziękuję za uwagę
www.eversheds.pl
top related